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Personal isiemng von Sicherheitsmoduln 



Die Erfindung betrifft die Personalisierung von krypto- 
graphischen Sicherheitsmoduln. 



Stand der Technik 

Fur den Betrieb insbesondere von Geldautomaten werden 
Sicherheitsmodule verwendet, die einen kryptographischen 
Prozessor und einen Schliisselspeicher umfassen. Bei dem 

10 Betrieb des Geldautomaten werden durch den Sicherheitsmodul 
alle Nachrichten von oder zu einem Zentralsystem durch den 
Sicherheitsmodul kryptographisch gesichert. Der Schlussel- 
speicher .ist von auSen nicht auslesbar, sondern kann nur 
fur kryptographische Operationen verwendet werden, so dass 

15 ein einmal in den Sicherheitsmodul iibertragener Schliissel 
nicht mehr kompromittiert werden kann. 

Dieser als .Personalisierung bezeichnete Vorgang ist sicher- 
heitstechnisch kritisch. Dies gilt in besonderem MaSe fur 
die bislang verwendete symmetrische Verschliisslung, z.B. 

20 das DES-Verf ahren, bei dem ein und derselbe Schliissel zur 
Ver- wie auch Entschltisslung verwendet wird. Daher ist beim 
Hersteller des Sicherheitsmoduls ein hoher Aufwand 
notwendig, um die verwendeten Schliissel gegen Ausspahung zu 
sichern. Insbesondere muss die Personalisierung in 

25 zugangsgesicherten Raumlichkeiten mit speziellem Personal 
erfolgen. Bei Verwendung nur weniger Masterschliissel ist 
ein besonders hoher Sicherheitsaufwand notwendig. Eine 
kundenspezif ische Programmierung erfordert einen grofien 
Logistik- und Lageraufwand, einschlieSlich der Bewachung 

30 von Lager und Transport . 

Es ist Aufgabe der Erfindung ein Verfahren bereit zu 
stellen, durch welches die Personalisierung unmittelbar 
wahrend der Inbetriebnahme durch den Kunden selbst am 
3 5 Einsatzort oder einer anderen nicht besonders gesicherten 
Umgebung erfolgen kann. 
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In der Patentschrif t US 6,442,690 Bl wird ein Personal*!- 
sierungssystem fur einen kryptographischen Modul 
beschrieben. Hierbei wird der kryptographische Modul mit 
5 einem vorlaufigen Schliissel versehen. Zur Personalisierung 
wird zunachst iiberprtift, ob dieser vorlaufige Schliissel 
vorhanden ist, und gegebenenf alls gegen einen neuen 
ausgetauscht. Die neuen Schliissel werden dabei uber ein 
Schliisselmanagement von dem Personalisierer bereitgestellt . 

10 Vorgeschlagen wird auch die Verwendung von asymmetrischen 
Verfahren, bei denen ein Schlusselpaar aus of f entlichem 
Schliissel und geheimem Schliissel Verwendung findet. Die 
Eigenschaf ten und Vorteile von asymmetrischen Verfahren 
gegeniiber' symmetrischen Verfahren sind . aus der 

15 einschlagigen Literatur bekannt; ihre Kenntnis wird im 
folgenden ohne weiteres vorausgesetzt . 



In der Patentschrif t US 6,298,336 Bl . wird ein 
transpor tables Aktivierungsgerat fur Chipkarten mit 
20 Bezahlfunktion beschrieben, wobei die Chipkarten bis zur, 
kryptographisch gesicherten, Aktivierung fur die 
vorgesehenen Anwendungen unbenutzbar sind. 

In der Patentschrif t DE 199 19 909 C2 wird ein Verfahren 
25 beschrieben, bei dem eine Nachricht mit symmetrischer Ver- 
schltisslung signiert und im Klartext iibertragen werden 
kann, ohne dass die die Signatur bildende S telle uber den 
geheimen Schliissel verfugen muss . Dieses Verfahren wird 
optional in einer Ausfuhrungsf orm der Erfindung eingesetzt. 

30 

Die Erfindung verwendet die Erkenntnis, dass ein trans- 
portables Personalisiergerat, das ahnlich wie ein Sicher- 
heitsmodul aufgebaut ist und insbesondere einen geschiitzten 
Schliisselspeicher und einen damit operierenden krypto- 
35 graphischen Prozessor enthalt, eine besonders vorteilhafte 
Handhabung der durch die Erfindung beschriebenen Methode 
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erlaubt. Hier ist insbesondere die Verwendung von 
Chipkarten von grofiem Vorteil, da diese zusammen mit 
mobilen Computern ein portables Personalisiergerat leicht 
verfugbar machen. Wird ein solches Personalisiergerat vor 
5 Ort mit dem Sicherheitsmodul verbunden, ist bereits 
hierdurch ein hohes Mafi an Sicherheit dafiir gegeben, dass 
auch das richtige Sicherheitsmodul personalisiert wird. Ein 
besonderer Vorteil besteht darin, dass das Sicherheitsmodul 
sich bereits am endgiiltigen Ort befindet und daher keine 

10 weiterer Transport erforderlich ist, der durch Bewachung zu 
sichern ware. In der bevorzugten Ausfiihrungsf orm wird 
zusatzlich eine gegenseitige Authentisierung von Sicher- 
heitsmodul und Personalisierer vorgesehen, bei der der 
Sicherheitsmodul vom Hersteller vorlaufig initialisiert , 

15 aber nicht personalisiert wird. Diese Initialisierung kann, 
bis gegebenenfalls auf laufende Seriennummern, bei alien 
Moduln gleich sein. 

Es handelt sich urn. einen Sicherheitsmodul, einen Personali- 
20 sierer und eine Methode zu deren Benutzung, wobei der 
Sicherheitsmodul den geheimen Schliissel eines 

Schliisselpaares fur asymmetrische Verschlusselung enthalt, 
der Personalisierer ein Zertifikat liber den offentliche 
Schliissel des Schlusselpaares erzeugt und zusammen mit dem 
25 offentlichen Schliissel eines Zentralsystems an den Sicher- 
heitsmodul sendet. Der Sicherheitsmodul verwendet dieses 
Zertifikat und den offentlichen Schliissel zur Sicherung der 
Kommunikation mit einem Zentralsystem, insbesondere im 
Bankenbereich . 



30 



Beschreibung 



In Fig. 1 wird die Erfindung schematisch im Zusammenhang 
gezeigt. Ein Bankautomat 10 enthalt einen Sicherheitsmodul 
35 12 und ist iiber eine Netzwerkverbindung 24 eines Netzwerks 
20 mit einem Zentralsystem 22 im spateren Einsatz 
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verbunden. Ferner ist ein Personalisierer 3 0 gezeigt, der 
iiber eine Chipkarte 32 mit kryptographischem Prozessor und 
gesichertem Schlusselspeicher verfugt. Die gestrichelte 
Linie in Fig. 1 soil andeuten, dass der Personalisierer 30 
5 nur vorubergehend in die raumliche Nahe des 
Sicherheitsmoduls 10 gebracht und liber die Datenverbindung 
34 verbunden ist. 

Die Bezeichnung " Zentralsystem" wird generisch fur im Be- 
10 triebszustand mit dem Sicherheitsmodul verbundenen 
Kommunikationsgegenstellen verwendet . 

Der Personalisierer ist bevorzugt ein mobiler Computer, der 
mit einer Chipkarte als kryptographischer Einheit ausge- 

15 stattet ist. Diese Chipkarte umfasst einen gesicherten 
Schlusselspeicher und fuhrt mit den dort gespeicherten 
Schlusseiln die benotigten kryptographischen Verfahren iiber 
Daten aus, die via Schnittstelle der Chipkarte ubertragen 
werden. Der Schlusselspeicher ist insofern gesichert, dass 

20 das Protokoll auf der Schnittstelle vollstandig von dem 
Prozessor auf der Chipkarte uberwacht wird und so gestaltet 
ist, dass die geheimen Schliissel aus dem Schlusselspeicher 
nicht iiber die Schnittstelle ubertragen werden; lediglich 
ihre Anwendung auf Daten ist moglich. Entsprechend wird die 

25 Integritat offentlicher Schliissel entweder durch 
Speicherung im Schlusselspeicher oder Ablage von krypto- 
graphischen Hashwerten im Schlusselspeicher bewirkt. Wenn- 
gleich die bekannte Aus fuhrungs form als Chipkarte nach ISO 
bevorzugt ist, kann auch eine Prozessorkarte im PCMCIA- 

30 Format oder ein externer per USB oder Firewire 
angeschlossener Modul verwendet werden. Ohne weiteres kann 
auch die gesamte Software und der Schlusselspeicher in dem 
mobilen Computer selbst enthalten sein, wenngleich dies 
wegen der geringeren Sicherheit bei derzeitig verfiigbaren 

35 mobilen Computern nicht die bevorzugte Ausfiihrung ist. 
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Zusatzlich zu der kryptographischen Verarbeitungs- 
moglichkeit und dem sicheren Schlusselspeicher verfugt der 
Personalisierer uber eine Kommunikationsschnitts telle, mit 
der voriibergehend eine Verbindung zum Sicherheitsmodul 
5 hergestellt werden kann. Im einfachsten Fall ist dies eine 
serielle Verbindung nach V.24, wobei ein Kabel mit Steckern 
vorubergehend eingesteckt wird und die Verbindung so durch 
einen Benutzer gesteuert wird. Andere Datenverbindungen wie 
I 2 C, USB, Firewire usw. sind gleichfalls moglich. Drahtlose 

10 Verbindungen liber Infrarot oder Funk, wie IrDA oder 
Bluetooth sind gleichermaSen gut verwendbar; hier entfallt 
die physische Hers tel lung einer Verbindung. Bluetooth hat 
den zusatzlichen Vorteil, dass eine Verschlusselung der 
Kommunikation eingebaut ist, wenngleich das 

15 Schliisselmanagement der Anwendung uberlassen bleibt . Dies 
ist hier ohnehin der Fall. 

Kabel- und Inf rarotverbindungen haben den Vorteil, dass von 
der Bedienperson recht g"ut sichergestellt werden kann, dass 

20 das beabsichtigte Gerat personalisiert wird, wenn die Ver- 
bindung unmittelbar zu dem zu personalisierenden 
Sicherheitsmodul fiihrt. Fur manche Einsatzzwecke mag diese 
Aiithentisierung ausreichend sein, so dass die im folgenden 
beschriebene bevorzugte kryptographische Authentisierung 

25 entf alien kann. 

Der Sicherheitsmodul befindet sich nach der Auslieferung 
und vor Beginn der Personalisierung in einem 
Personalisierungszustand, der von dem nachf olgenden 
30 Betriebszustand abweicht. 

Die Verbindung zwischen Personalisierer und 

Sicherheitsmodul ist bevorzugt eine kryptographisch 
gesicherte Verbindung nach bekannten Verfahren, wie sie 
35 beispielsweise als TLS im Zusammenhang mit HTTPS bekannt 
sind. Ist die Verbindung aufgebaut und verfiigbar, dann 
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stellen diese Verfahren sicher, dass die nachf olgende 
Kommunikation weder abgehort noch modifiziert werden karfti. 
In der Kegel wird hierzu ein zufalliger Schlussel 
verwendet, der entweder nach dem Dif f ie-Hellmann-Verf ahren 
5 ohne Authentisierung oder im Rahmen einer Authentisierung, 
so z.B. gemaS der Verof f entlichung WO 91/14980, 
bereitgestellt wird. Die Sicherheitsanf orderungen an die 
gegenseitige Authentisierung, die je nach Einsatzfall zu 
ermitteln sind, bestimmen damit die Anf orderungen an die zu 

10 verwendende Authentisierung. Hierzu kann auch die genannte 
Patentschrif t DE 199 19 909 C2 dienen, nach der der Her- 
steller ein Zertifikat in einen Sicherheitsmodul einbringen 
kann, ohne uber den Schlussel fur die Verif izierung zu ver- 
fugen. Auch ist es moglich, beim Hersteller jeden Sicher- 

15 heitsmodul mit einem zufalligen Schlussel auszustatten, der 
in den Begleitpapieren enthalten ist oder unabhangig iiber 
sichere Wege ubermittelt wird. Die gegenseitige Authenti- 
sierung erfolgt dann uber bekannte Challenge-Response- 
Verfahren, z.B. gemafi dem europaischen Patent EP 552392. 

20 Ist die gesicherte Verbindung zwischen Sicherheitsmodul und 
Personalisierer aufgebaut, dann sendet der Sicherheitsmodul 
daruber den offentlichen Schlussel eines Schliisselpaares , 
dessen privater Schlussel in seinem gesicherten . Schliissel- 
speicher abgelegt ist. Dieses Schlusselpaar , im folgenden 

25 auch als Modulschliissel bezeichnet, kann bereits bei der 
Herstellung generiert werden, da der private Schlussel den 
Sicherheitsmodul nicht verlassen und daher beim Hersteller 
auch nicht kompromittiert werden kann. 

Bevorzugt wird das Schlusselpaar jedoch erst im Rahmen der 
30 Personalisierung erzeugt, weil dann der Einfluss des 
Herstellers geringer ist und damit seine 

Sicherheitsvorkehrungen weniger aufwendig sind. AuSerdem 
kann ein vom Personalisierer vorgegebener Modifikator, in 
der Literatur auch als ^alt 1 bezeichnet, mit ubertragen 
35 werden, der das erzeugte Schlusselpaar beeinflusst. 
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Nunmehr iibertragt der Sicherheitsmodul den offentlichen 
Schlussel an den Personalisierer. Dieser verwendet den bfei 
sich gespeicherten geheimen Schlussel eines weiteren, im 
folgenden als Signierschlussel bezeichneten Schliisselpaars , 
5 und signiert damit den von dem Sicherheitsmodul erhaltenen 
offentlichen Modulschlussel . Eine solche Signatur eines 
offentlichen Schliissels, mit oder ohne diesen signierten 
offentlichen Schlussel, wird im folgenden als Zertifikat 
bezeichnet . 

10 Der Personalisierer sendet das Zertifikat uber die 
bestehende gesicherte Verbindung zuriick an den Sicherheits- 
modul, welcher das Zertifikat dauerhaft und sicher gegen 
Veranderung fur die Verwendung im nachfolgend beschriebenen 
Betriebszustand speichert. Dabei wird, wie oben erwahnt, 

15 die Integritat mittels des sicheren Schliisselspeichers 
gesichert . 

In einer Weiterbildung der Erfindung sendet der Personali- 
sierer zusammen mit dem Zertifikat auch einen offentlichen 

20 Schlussel eines Zentral systems zuriick, mit dem der 
Sicherheitsmodul zukunftig im Betriebszustand verbunden 
werden soil. Bevorzugt wird dieser offentliche Schlussel 
gleichfalls von dem Personalisierer mit einem Zertifikat 
versehen, obwohl der Sicherheitsmodul dieses nicht priifen 

25 kann, bis im Sicherheitsmodul ein gesicherter offentlicher 
Schlussel des Personalisierers vorliegt. Dieser sendet 
daher als drittes seinen offentlichen Schlussel zusammen 
mit einem weiteren Zertifikat. Dieses kann entweder vom 
Zentralsystem ausgestellt sein und kann dann mit dem 

30 gleichfalls ubertragenen offentlichen Schliissels des 
Zentralsystems gepriift werden. Diese Zirkularzertif izierung 
ist eher als Plausibilitatspriifung anzusehen, weil der 
Personalisierer ohne weiteres ein beliebiges Schlusselpaar 
fur das Zentralsystem selbst erzeugen und sodann die 

35 notwendigen Zertifikate herstellen kann. 

Besser ist die Losung, bei der der offentliche Schlussel 
des Personalisierers durch ein weiteres Schlusselpaar des 
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Herstellers signiert wurde, wobei der Hersteller seinen 
of f entlichen Schlussel bei der Herstellung in cfen 
Sicherheitsmodul eingetragen hat. Das entsprechende 
Zertifikat wird vom Personalisierer an den Sicherheitsmodul 
5 ubertragen. 

Damit ist dann beim Aufbau der Verbindung eine Authenti- 
sierung des Personalisierers gegenuber dem Sicherheitsmodul 
nicht mehr notwendig, da im Rahmen der Personalisierung die 

10 vom Personalisierer ubertragenen Zertifikate gepriift 
werden. Dass dann der offentliche Modulschliissel eventuell 
unberechtigt ausgelesen werden kann, ist nach dem Prinzip 
der asymmetrischen Verschlusslung unkritisch. Iiediglich 
sind vom Hersteller die Signierschlussel der Kunden nach 

15 Bedarf zu signieren und der eigene offentliche Schlussel in 
den Sicherheitsmodul einzutragen. 

Wenn durch die Signierung des Signierschliissels des Perso- 
nalisierers ohnehin ein Datenaustausch zwischen Hersteller 

20 und Betreiber des Personalisierers stattfindet, wird be- 
vorzugt auch der offentliche Schlussel des Herstellers mit 
ausgetauscht . Der Sicherheitsmodul erzeugt dann zum 
Abschluss des Herstellungsvorgangs ein weiteres 
Schlusselpaar , das permanent erhalten bleibt und zur 

25 sicheren Identif izierung des Sicherheitsmoduls dient. Der 
zugehorige offentliche Schlussel wird beim Hersteller 
signiert und das Zertifikat in den Sicherheitsmodul 
geladen. Damit kann der Sicherheitsmodul durch Signierung 
seiner Seriennummer und anderer vom Personalisierer 

30 vorgegebener Daten wie Zeitstempel und Zuf allszahlen, seine 
Identitat beweisen, sich also authentisieren . 

Nunmehr wird die Verbindung zwischen Personalisierer und 
Sicherheitsmodul abgebaut und so der Personalisierer vom 
35 Sicherheitsmodul getrennt . Das Sicherheitsmodul wechselt 
damit in den normalen Betriebszustand, in dem eine weitere 
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35 



Personalisierung nicht moglich ist. Eine emeute Personali- 
sierung kann iiber einen direkten Eingriff -1m 
Sicherheitsmodul (oder auch einen wie auch immer gegen 
Missbrauch gesicherten Befehl, beispielsweise vom 
Zentralsystem) erzwungen werden. Dieses Riicksetzen in den 
Personalisierungszustand ist jedoch damit verbunden, dass 
der Sicherheitsmodul das Schliisselpaar loscht und im Rahmen 
der nachfolgenden Personalisierung die Generierung eines 
neuen Schliisselpaares erzwingt . 



In dem auf die Personalisierung folgenden Betriebszustand 
wird nunmehr eine Verbindung zwischen Sicherheitsmodul und 
Zentralsystem hergestellt, die gleichfalls durch krypto- 
graphische Mittel, insbesondere Sitzungsschliissel , 
15 gesichert wird. Hierbei sendet der Sicherheitsmodul das vom 
Personalisierer ausgestellte Zertifikat zusammen mit seinem 
offentlichen Schliissel an das Zentralsystem. Dem 
Zentralsystem wurde zuvor der offentliche Schliissel des 
Personalisierers durch eine integritatskontrollierte 
20 Verbindung tibermittelt . (Beispielsweise wird die Chipkarte 
vom Zentralsystem personalisiert ) . Das Zentralsystem kann 
damit iiberpriifen, ob der Sicherheitsmodul fur die 
nachfolgenden Transaktionen berechtigt ist und 
beispielsweise zuverlassig ubermitteln kann, dass fur eine 
25 Auszahlung eines mitgesendeten Betrages eine authentische 
Bankkarte fur eine bestimmte Kontonummer vorliegt. Indem 
der Sicherheitsmodul von dem Personalisierer den 
offentlichen Schliissel des Zentralsystems erhalten hat, ist 
wiederum fiir den Sicherheitsmodul sichergestellt , dass die 
vom Zentralsystem erhaltenen Nachrichten, z.B. der Auftrag 
fiir die Auszahlung. eines Geldbetrags, von einem 
berechtigten Zentralsystem stamen. 

Aus Griinden der Kompatibilitat oder der Geschwindigkeit 
kann auch ein symmetrischer Schliissel von dem Zentralsystem 
in das Sicherheitsmodul iiber tragen werden, der dann in den 
sicheren Schlusselspeicher eingetragen wird und fiir eine 
beschrankte Zeit fiir Transaktionen nach bisherigen auf 
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symmetrischer Kryptographie beruhenden Verfahren benutzt 
wird. -«* 

In der bevorzugten Ausfiihrungsf orm wird jede 
5 Personalisierung auf der Chipkarte in einem Protokoll 
aufgeftihrt. Damit ist sichergestellt , dass die ausgegebenen 
Zertifikate jederzeit nachvollzogen werden konnen. Bei 
einer Kompromittierung der Chipkarte steht durch Sperrung 
des zugehorigen offentlichen Schlussels im Zentralsystem 

10 schnell eine wirksame GegenmaJSnahme zur Verfugung. 

Ein nicht durch die Erfindung personalisierter Sicherheits- 
modul muss weder bei der Lagerung noch beim Transport 
besonders bewacht werden, da er ohne Personalisierung nicht 
verwendbar ist. Damit liegt auch der Wert des Moduls nicht 

15 wesentlich liber dem Herstellungswert und ist zudem nicht 
kundenspezif isch . 

Da der Personalisierer in der bevorzugten Ausfiihrungsf orm 
nur mit einer Chipkarte als Kryptographieeinheit verwendbar 
ist, ist, bei entsprechender Gestaltung der Software, 
20 lediglich die Chipkarte gegen Missbrauch zu sichern. 
Hierfur haben insbesondere Banken unter Verwendung des 
Vier-Augen-Prinzips wirksame administrative Verfahren zur 
Verfugung. 

25 Eine Variante der Erfindung verwendet das vorhandene, im 
Betriebszustand ohnehin benotigte Datennetzwerk zur Ver- 
bindung des Sicherheitsmoduls mit dem Personalisierer. Dies 
erlaubt es, dass der Personalisierer gesichert betrieben 
wird und auch in das Zentralsystem integriert werden kann. 

30 In letzterem Fall vereinfacht sich die gegen Verfalschung 
zu sichernde Ubertragung des offentlichen Signierschliissels 
vom Signier- zum Zentralsystem. 

In diesem Fall wird uber entsprechende Protokollelemente 
35 eine kryptographisch insbesondere gegen Verfalschung ge- 
sicherte Verbindung auf gebaut . Als Teil der sicheren 
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Identif izierung und Authentisierung ist sicherzustellen, 
dass auch der "richtige" Sicherheitsmodul personalisieSrt 
wird. 

5 Eine erste Losung besteht darin, dass eine Bedienperson 
liber eine temporare direkte Datenverbindung eine Einmal- 
Transaktionsnummer ' eingibt, die an den Personalisierer 
gesendet wird. Diese Trans aktionsnummer kann in 
Sicherheitsumschlagen transportiert werden und 

10 beispielsweise 16 oder mehr Zeichen umfassen. Die 
Verbindung zum Sicherheitsmodul braucht auch nicht 
gesichert zu sein, da die Transaktionsnununer unmittelbar 
nach der Eingabe wertlos wird. Es geniigt also eine einfache 
Tastatur mit einer einfachen seriellen Schnittstelle, die 

15 temporar mit dem Sicherheitsmodul verbunden wird. Hat der 
Sicherheitsmodul ohnehin eine Tastatur, beispielsweise fur 
Diagnosezwecke, dann kann diese fur die Eingabe der Trans- 
aktionsnummer verwendet werden. 

Fur sehr lange Transaktionsnummern wird ein mobiler 
20 Computer mit einer der oben angegebenen Schnittstellen 
verwendet. Bevorzugt werden dann die Transaktionsnummern 
auf einer Chipkarte gespeichert, wenngleich eine 
(verschlusselte) Speicherung im Datei system des mobilen 
Computers gleichfalls moglich ist. 

25 

Alternativ wird ein mobiler Computer verwendet, der die 
sichere Identif izierung vermittelt. Der mobile Computer 
verwendet zwei Datenschnittstellen, eine fur Nah- und eine 
fur Fernverbindungen. Fur die Nahverbindungen kommen die 

30 oben bereits erwahnten Einrichtungen in Betracht, uber die 
bei den anderen Varianten der Personalisierer temporar 
angeschlossen wird. Fur die Fernverbindungen kommen 
entweder Mobilf unkverbindungen oder andere 

Netzwerkverbindungen in Frage. Ein Routing dieser 

35 Verbindungen uber die Nahverbindung ist ebenfalls moglich. 
Der mobile Computer kann daher auch ein Mobiltelefon sein. 
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Eine Variante dieser vermittelten Identif izierung erzeugt 
eine Zufallszahl im mobilen Computer und sendet sie eine?lr- 
seits tiber die Nahverbindung an den Sicherheitsmodul, der 
sie sogleich an den Personalisierer weiterleitet . Parallel 
5 dazu wird die Zufallszahl liber die Fernverbindung direkt an 
den Personalisierer gesendet . Im Falle eines Mobiltelef ons 
wird die vom Netzbetreiber mitgeteilte Anruf ernummer 
ausreichen, urn die Identitat des Mobiltelef ons ausreichend 
sicherzustellen. Im Falle eines generellen mobilen 

10 Computers wird bevorzugt eine gesicherte HTTP-Verbindung 
mit dem TLS-Protokoll verwendet, wobei auch eine Chipkarte 
zur Sicherung der verwendeten Zertifikate dienen kann. 
Dabei kann die identif izierende Zufallszahl von jedem der 
drei Gerate erzeugt werden. Bevorzugt wird die Zufallszahl 

15 im Personalisierer erzeugt, der sie an den Sicherheitsmodul 
sendet, der sie an den mobilen Computer sendet, der sie an 
den Personalisierer zurucksendet . Erst dann wird die Perso- 
nalisierung fortgesetzt. Die Zufallszahl hat hier dieselbe 
Funktion wie zuvor die Transaktipnsnummer ; sie wird 

2© lediglich erst bei Bedarf gebildet. Durch die Bildung im 
Personalisierer wird die Qualitat gesichert. Entsprechend 
kann die Zufallszahl auch im Sicherheitsmodul gebildet 
werden . 

Auch hier wird ein mobiles Gerat temporar an den Sicher- 
25 heitsmodul angeschlossen und sichert die Identitat des zu 
personalisierenden Sicherheitsmoduls gegemiber dem Perso- 
nalisierer. 



In alien diesen Varianten wird der Sicherheitsmodul dadurch 
30 personalisiert, dass der offentlichen Schliissel eines im 
Sicherheitsmodul erzeugten Schliisselpaares von einem Zerti- 
fizierer zertifiziert wird. Das so erhaltene Zertifikat 
wird im Sicherheitsmodul gespeichert und ist fur den 
nachfolgenden Betriebszustand kennzeichnend. Die 

35 Authentisierung gegeniiber dem Zertif izierungs server beruht 
auf einer temporaren Datenverbindung zwischen dem 
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Sicherheitsmodul und einer von einem Bediener dazu 
benutzten mobilen Eingabeeinheit . 
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PatentansprCiche 

1. Verfahren zum Betrieb eines Sicherheitsmoduls , mit den 
Merkmalen: 

5 - Der Sicherheitsmodul umfasst einen sicheren Schliissel- 
speicher und mindestens eine Datenschnittstelle. 
- In einem Personalisierungszustand wird eine Verbindung 
zu einem Personalisierer mittels der Datenschnittstelle 
hergestellt. 

10 - In dem Sicherheitsmodul wird ein Modulschlusselpaar neu 
erstellt und im Schliisselspeicher abgelegt. 

- Der offentliche Modulschlussel wird \iber die Verbindung 

an den' Personalisierer gesendet. 

- Von dem Personalisierer wird ein Zertifikat uber den 
15 offentlichen Modulschlussel durch Signierung mit einem 

Signierschltissel des Personalisierers erzeugt, an den 
Sicherheitsmodul gesendet und dort sicher abgelegt. 

- Daraufhin wird die Verbindung abgebaut; der Sicherheits- 

modul wechselt von dem Personalisierungszustand in den 
20 Betriebszustand . 

In dem Betriebszustand wird eine kryptographisch 
gesicherte Verbindung zu einem Zentralsystem aufgebaut, 
bei der der private Modulschlussel benutzt wird und der 
offentliche Modulschlussel samt Zertifikat an das 
25 Zentralsystem ubertragen und dort das Zertifikat 

gepruft wird. 

2 . Verfahren nach Anspruch 1 , wobei ein erneuter Ubergang 
in den Personalisierungszustand den Modulschlussel 

30 loscht. 

3. Verfahren nach Anspruch 1 oder 2, wobei im 
Personalisierungszustand die Verbindung zwischen 
Sicherheitsmodul und Personalisierer kryptographisch auf 



203T006 



15 



Wincor Nixdorf 



Authentizitat gepruft und gegen Verfalschung gesichert 
wird . .« 

4. Verfahren nach einem der Anspriiche 1 bis 3/ wobei 
5 zusaitimen mit dem Modul-Zertif ikat ein offentlicher 

Schliissel des Zentral systems iibertragen wird, welcher im 
Betriebszustand fiir die Prufung der Authentizitat des 
Zentralsys terns verwendet wird. 



10 5. Verfahren nach Anspruch 4, wobei der offentliche 
Schliissel des Zentralsystems mit dem Signierschliissel 
des Personalisierers signiert, das so erhaltene 
Zertifikat mit iibertragen und von dem Sicherheitsmodul 
gepruft wird. 



15 



20 



Verfahren nach Anspruch 5, wobei der . offentliche 
Signierschliissel des Signierers von dem Zentralsystem 
signiert, dieses Zertifikat mit iibertragen und von dem 
Sicherheitsmodul gepruft wird. 



7. Verfahren nach einem der Anspriiche 1 bis 6, wobei 

in dem Schliisselspeicher des Sicherheitsmoduls ein 
offentlicher Priif schliissel des Hers tellers abgelegt ist, 

- der Personalisierer seinen offentlichen Signierschliissel 
25 zusammen mit einem Zertifikat, gebildet mit dem 

Priif schliissel des Herstellers, iibertragt, 

- und der Sicherheitsmodul zunachst das Zertifikat des 
offentlichen Signierschliissel mit dem offentlichen 
Priif schliissel und sodann die mit dem offentlichen 

30 Signierschliissel erzeugten Zertifikate priif t, 

- und nur bei erf olgreichen Priifungen in den Betriebs- 
zustand wechselt. 



35 



8. Verfahren nach einem der Anspriiche 1 bis 7, wobei in dem 
Sicherheitsmodul einmalig ein permanenter Identitats- 
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schlussel gebildet wird, der zugehorige offentliche 
Schlussel mit dem Priif schlussel des Herstellers signidtt 
wird und das entsprechende Zertifikat im 
Sicherheitsmodul abgelegt wird. Der Identitatsschlussel 
■5 mit Zertifikat wird zur Sicherung der Authentizitat 

gegenuber dem Personalisierer nach einem Challenge- 
Response-Verf ahren benutzt . 

9. Verf ahren nach einem der Anspruche 1 bis 8, wobei der 
10 Sicherheitsmodul an den Personalisiermodul einen 

Zeitstempel oder Zufallswert ubermittelt , der bei der 
Bildung der Zertifikate in die Signatur mit einfliefit. 

10. Verf ahren nach einem der Anspruche 1 bis 9, wobei das 
15 Personalisiersystem einen Variationswert an den 

Sicherheitsmodul ubermittelt, der bei der Erzeugung des 
neuen Modulschliissels verwendet wird. 

11. Verf ahren nach einem der Anspruche 1 bis 10, wobei die 
20 mit dem privaten Modulschlussel aufgebaute Verbindung 

mit dem Zentralsystem dazu benutzt wird, einen 
symmetrischen Schlussel fur nachfolgende Transaktions- 
verbindungen auszutauschen und im sicheren Schliissel- 
speicher des Sicherheitsmoduls abzulegen. 

25 

12. Verf ahren nach einem der Anspruche 1 bis 11, wobei ein 
mobiler Personalisierer verwendet wird, der mit dem 
Sicherheitsmodul direkt liber eine durch einen Bediener 
gesteuerte Verbindung verbunden wird. 

30 

13. Verf ahren nach einem der Anspruche 1 bis 12, wobei 
durch einen Bediener eine Einmal-Transaktionsnurnmer in 
den Sicherheitsmodul eingegeben wird, entweder direkt 
durch ein fest mit dem Sicherheitsmodul oder unmittelbar 

35 und direkt durch eine vom Bediener mit dem 
Sicherheitsmodul verbundene Eingabeeinheit , und die 
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Verbindung mit dem Personalis ierer durch die Ubertragung 
der Transaktionsnummer gesichert wird. 

14. Verfahren nach einem der vorigen Ansprtiche, wobei ein 
5 mobiles Gerat uber eine von einem Benutzer direkt kon- 

trollierte Nahverbindung mit dem Sicherheitsmodul und 
eine Fernverbindung mit dem Personalisierer verbunden 
ist, sich das mobile Gerat gegeniiber dem Personalisierer 
identif iziert und dadurch das Sicherheitsmodul gegeniiber 
10 dem Personalisierer indirekt identif iziert wird. 

15. Verfahren nach Anspruch 14, wobei die Nah- und 
Fernverbindung lediglich zum sicheren Aufbau einer 
sicheren direkten Netzwerkverbindung zwischen 

15 Sicherheitsmodul und Personalisierer dienen. 

. 16. Verfahren zur Personalisierung eines Sicherheitsmoduls 
mit den Merkmalen: 

- Der Sicherheitsmodul wird mit einem Personalisierer ver- 
20 bunden . 

- Der Sicherheitsmodul wird von einem Bediener uber eine 

von dem Bediener bestimmte Schnittstelle temporar mit 
einem Identif izierer verbunden. 

- Der Identif izierer sendet einen vom Personalisierer priif- 
25 baren Identif ikationswert an den Sicherheitsmodul, der 

diesen an den Personalisierer weiterleitet . 

- Der Personalisierer fiihrt die Personalisierung durch, 
wenn die Priifung des Identitatswerts positiv ist. 

30 17. Verfahren nach dem Anspruch 16, wobei der Identif ika- 
tionswert eine vorab erzeugte Einmal-Transaktionsnummer 
ist . 



18. Verfahren nach dem Anspruch 17, wobei der 
35 Identif ikationswert durch eine kryptographisch 
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au then t i sierte Dat enverbindung z wi s chen I den t i fizierer 
und Personalisierer ausgetauscht wird. 

19. Sicherheitsmodul, enthaltend einen gesicherten 
5 Schlusselspeicher , einen programmierbaren Prozessor und 

mindestens eine Datenschnittstelle, wobei durch die 
Prograirauiemng des Prozessors sich der Sicherheitsmodul 
entsprechend einem der Anspruche 1 bis 15 verhalt. 

10 20. Personalisierer, enthaltend einen gesicherten 
Schlusselspeicher, einen programmierbaren Prozessor und 
mindestens eine Datenschnittstelle, wobei durch die 
Programmierung des Prozessors sich der Personalisierer 
entsprechend einem der Anspruche 1 bis 15 verhalt. 

15 

21. Zentralsystem, enthaltend einen gesicherten Schlussel- 
speicher und mindestens eine Datenschnittstelle, wobei 
durch die Programmierung des Zentralsystems sich das 
Zentralsystem entsprechend einem der Anspruche 1 bis 15 
20 verhalt. 
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Zusammenfassung 

Sicherheitsmodul, Personalisierer und Verfahren zu deren 
Benutzung, wobei der Sicherheitsmodul einen geheimen 
5 Schliissel eines Schlusselpaares fiir asymmetrische 
Verschliisslung enthalt, der Personalisierer ein Zertifikat 
liber den offentlichen Schliissel des Schlusselpaares erzeugt 
und zusammen mit dem offentlichen Schliissel eines 
Zentral systems an den Sicherheitsmodul sendet. Der 
10 Sicherheitsmodul verwendet dieses Zertifikat und den 
offentlichen Schliissel zur Sicherung der Kommunikation mit 
einem Zentralsystem, insbesondere im Bankenbereich. 

Fig. 1 

15 
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